¡Hasta -30% en todos los libros en línea,
eformaciones y vídeos*! Código: NEURONA30 Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros y videos
  2. Control y seguridad de la red en Windows Server
  3. Configuración del rol DHCP en Windows Server
Extrait - Control y seguridad de la red en Windows Server
Extractos del libro
Control y seguridad de la red en Windows Server Volver a la página de compra del libro

Configuración del rol DHCP en Windows Server

Definición

El acrónimo DHCP (Dynamic Host Configuration Protocol) hace referencia a un protocolo de configuración dinámica que forma parte esencial de las redes informáticas desde hace varias décadas. Se introdujo por primera vez en 1993.

Este protocolo funciona en modo cliente/servidor, donde hablamos de servidor DHCP y el cliente es un dispositivo (ordenador, servidor, smartphone, tableta, impresora, etc.).

Según el RFC2131, el protocolo DHCP utiliza dos puertos: el puerto 67 para el servidor y el puerto 68 para el cliente, utilizando el protocolo de transporte UDP.

El objetivo principal del servidor DHCP es distribuir una configuración de red a los equipos que desean conectarse a una red. En otras palabras, cuando un equipo se conecta a una red, intentará obtener automáticamente una configuración TCP/IP a través del servidor DHCP. Gracias a esta configuración de red, el equipo que acaba de conectarse se puede comunicar con los demás equipos de la red.

Esta configuración, distribuida por el servidor DHCP, contendrá una serie de informaciones: dirección IP asignada al cliente, máscara de subred, puerta de enlace por defecto, servidor(es) de nombres, nombre de dominio, etc.

El protocolo DHCP funciona tanto en IPv4 como en IPv6, en función de las necesidades. Esencial con IPv4, es diferente con IPv6 ya que esta versión del protocolo IP es capaz de autoconfigurarse (dirección de enlace local). No obstante, con DHCPv6 se puede distribuir información específica a los clientes, como servidores de nombres, por ejemplo.

El servidor DHCP facilita enormemente la conexión de un nuevo dispositivo a una red. Gracias a DHCP, no es necesario configurar las máquinas que quiera conectar a la red.

1. El protocolo...

Implantar el rol DHCP en Windows Server

Una vez visto el protocolo DHCP en sí y su importancia en un sistema de información, es hora de ver cómo configurar el rol DHCP en Windows Server.

Antes de implementar el rol DHCP dentro de su infraestructura, es esencial determinar en qué servidor se desplegará el rol. También debe determinar si será un único servidor DHCP o uno que funcione en modo clúster, con un segundo servidor, para garantizar la tolerancia a fallos y la alta disponibilidad del servicio.

Tanto si está desplegando un servidor DHCP independiente como un clúster de servidores DHCP, necesita empezar por implementar un primer servidor. Se puede añadir un segundo servidor más tarde: el rol DHCP es relativamente flexible en su implementación.

1. Implementación con o sin Active Directory

Para configurar un servidor DHCP, no es necesario disponer de un entorno Active Directory. En otras palabras, el servidor DHCP puede ser miembro de un grupo de trabajo, es decir, "WORKGROUP" por defecto en Windows.

Si se dispone de un dominio Active Directory, es preferible que el servidor se integre en este dominio, lo que permitirá autorizar el servidor DHCP en el directorio. 

Sin embargo, se recomienda no instalar el rol de servidor DHCP en el controlador de dominio, aunque sea técnicamente posible. El objetivo es proteger el controlador de dominio y reducir la superficie de ataque, ya que una vulnerabilidad en el servicio DHCP podría ser explotada para comprometer el servicio Active Directory.

2. Instalación del rol DHCP

En una máquina con Windows Server, en este caso Windows Server 2022 para esta demostración, el rol se puede instalar utilizando la interfaz gráfica del sistema a través de Administrador del servidor, así como utilizando comandos PowerShell.

Para este ejercicio, el rol DHCP se configurará en un entorno Active Directory.

El rol de servidor DHCP...

Gestión de las opciones de ámbito y servidor

El servidor S-DHCP-1 tiene el rol de servidor DHCP, pero no está configurado de ninguna manera. Esto se debe a que se debe configurar al menos un ámbito para que comience a distribuir direcciones IP a los clientes potenciales. En otras palabras, por defecto, no hay ámbitos.

Teniendo en cuenta los dos servidores existentes en la actualidad, a saber, S-DC y S-DHCP-1, se puede establecer el siguiente diagrama:

images/esq_cap4_pag21.png

Esto significa que se debe declarar en el servidor DHCP un ámbito para la red 192.168.145.0/24, correspondiente a la LAN, si se desea distribuir direcciones IP en este segmento de red.

En este ejemplo básico, todas las máquinas (servidores y ordenadores) están conectadas al mismo segmento de red. En el caso de redes separadas, el procedimiento sigue siendo idéntico, salvo que hay que tener en cuenta la configuración del agente de transmisión DHCP (en el dispositivo encargado del enrutamiento).

Dependiendo del número de dispositivos a conectar, el rango de direcciones IP asociado a este rango deberá ser mayor o menor. Supongamos que queremos distribuir direcciones IP desde 192.168.145.11 hasta 192.168.145.50.

1. Crear un ámbito DHCP

En el servidor S-DHCP-1, se debe declarar el siguiente ámbito DHCP para cumplir nuestros requisitos:

  • Intervalo de direcciones IP: 192.168.145.11 a .50;

  • Máscara de subred: 255.255.255.0;

  • Puerta de enlace predeterminada: 192.168.145.1;

  • Servidor de nombres: 192.168.145.128;

  • Nombre de dominio: eni.local;

  • Duración de la concesión: 1 día.

 Para aplicar la configuración definida anteriormente, abra la consola DHCP.

 En la consola DHCP, haga clic con el botón derecho del ratón en IPv4 y, a continuación, haga clic en Nuevo ámbito en el menú contextual. Aparecerá un asistente. Omita el primer paso.

images/Cap4_Pag26.PNG

 Introduzca LAN como nombre para este ámbito y, opcionalmente, introduzca una descripción. El nombre será visible en la consola DHCP.

En una infraestructura con varias VLAN, conviene especificar su número en el nombre del ámbito.

images/Cap4_Pag27.PNG

 En el siguiente paso, titulado Intervalo de direcciones IP, debe especificar los valores para los campos Dirección IP inicial y Dirección IP final. Esto definirá el rango de direcciones IP que se distribuirá...

Inscripción de registros en una zona DNS

1. Inscripción en una zona DNS de un equipo Windows

El sistema operativo Windows es capaz de registrarse en un servidor DNS para crear un registro de tipo A, con el nombre de la máquina y la dirección IP. De esta forma, se puede contactar con una máquina por su nombre DNS y no sólo por su dirección IP. Se trata de una función útil si depende de aplicaciones que identifican las máquinas por su nombre.

Cuando la máquina obtiene una concesión DHCP, intentará registrarse en el servidor DNS. Este es el modo de funcionamiento por defecto de una tarjeta de red en Windows, ya que la opción Registrar en DNS las direcciones de esta conexión está activada en la configuración DNS, para la conectividad IPv4.

images/Cap4_Pag46.PNG

Una vez que ha obtenido una dirección IP, la máquina se registra en un servidor DNS. El servidor DNS generará un registro A o AAAA, dependiendo de si el ámbito es IPv4 o IPv6. A continuación, el ordenador puede actualizar este registro, sobre todo si cambia su dirección IP. Este proceso se denomina actualización dinámica del registro DNS.

Dependiendo de la configuración del servidor DNS, la inscripción de este registro (y futuras actualizaciones) puede ser rechazado.

El servidor DNS de nuestro dominio Active Directory (denominado S-DC) contiene la zona eni.local. Dado que esta zona DNS está integrada en Active Directory, la función de actualizaciones dinámicas está configurada en modo Solo con seguridad, lo que significa que únicamente las máquinas integradas en Active Directory se pueden registrar automáticamente, ya que dispondrán de esta autorización.

images/Cap4_Pag47.PNG

El ordenador PC-WIN, miembro del dominio Active Directory eni.local...

Alta disponibilidad del servicio DHCP

1. El principio de la alta disponibilidad de DHCP

Desde el momento en que se implanta en una infraestructura, el servicio DHCP se convierte en crítico. Si deja de estar operativo, los clientes DHCP ya no pueden renovar su concesión DHCP y los nuevos clientes DHCP no pueden obtener una concesión DHCP.

Como resultado, las máquinas conectadas a la red liberarán gradualmente su concesión, y las nuevas máquinas no se podrán conectar a la red. Un verdadero problema de producción.

Dada esta situación y la criticidad del servicio DHCP, se recomienda implementar dos servidores DHCP. El rol DHCP de Windows Server soporta esta función de forma nativa.

Estos dos servidores DHCP trabajarán en parejas: si un servidor DHCP se cae, el segundo tomará el relevo para distribuir direcciones IP. Esto garantiza una alta disponibilidad del servicio DHCP.

Desde Windows Server 2012, la función de clúster se ha integrado en el rol DHCP de Windows Server, lo que simplifica la implementación. En otras palabras, ya no es necesario crear un clúster de servidores, como se requiere para ciertos roles como Hyper-V, donde existen numerosos requisitos previos.

El rol DHCP de Windows Server soporta dos modos de operación:

  • Equilibrio de carga: los dos servidores DHCP están activos al mismo tiempo y se repartirán un porcentaje del rango de direcciones IP a distribuir. Esto también garantiza una alta disponibilidad.

  • Servidor en espera: un servidor DHCP está activo y distribuye concesiones DHCP a los clientes, mientras que el segundo es pasivo. Se puede considerar que está en espera y entrará en acción si el servidor DHCP principal no funciona.

2. Infraestructura objetivo

La configuración de un clúster de servidores DHCP requiere el uso de, al menos, dos servidores Windows Server. Por lo tanto, se añadirá un segundo servidor DHCP, denominado S-DHCP-2 a la configuración anterior.

En total se utilizan cuatro máquinas virtuales:

  • S-DC: el controlador de dominio Active Directory y servidor DNS para eni.local;

  • S-DHCP-1: el servidor DHCP está operativo y ya está configurado con un ámbito;

  • S-DHCP-2: el servidor DHCP que se instalará e integrará en el clúster;

  • PC-WIN: la estación de trabajo Windows...

Gestión DHCP con PowerShell

1. ¿Por qué utilizar PowerShell?

Mediante PowerShell, un administrador puede gestionar el rol de servidor DHCP de Windows Server utilizando comandos y scripts.

Dado que el servidor DHCP se puede desplegar en una máquina Windows sin interfaz gráfica (en modo Core), tiene sentido poder administrar el servidor mediante PowerShell. A esto se añade la comodidad de PowerShell para ciertas tareas de administración.

Alrededor de un centenar de comandos PowerShell están disponibles para la gestión de un servidor DHCP. Estos comandos están integrados en el módulo DhcpServer.

En un servidor DHCP, este es el comando a ejecutar para listar estos comandos:

Get-Command -Module DhcpServer

La instalación del rol Servidor DHCP usando PowerShell ya ha sido cubierta.

2. Gestión de ámbitos DHCP

PowerShell es capaz de listar, crear, modificar y eliminar los ámbitos de un servidor DHCP.

El comando Get-DhcpServerv4Scope se utiliza para listar los ámbitos IPv4 del servidor. Su equivalente para IPv6 es simplemente Get-DhcpServerv6Scope.

Sin ningún parámetro, este comando lista todos los rangos IPv4 en el servidor local.

 En el servidor S-DHCP-1, ejecute el siguiente comando para listar los ámbitos. Debería aparecer un ámbito llamado LAN.

Get-DhcpServerv4Scope

 Elimine el ámbito LAN para reproducir la misma configuración en PowerShell. El ámbito se debe especificar mediante su ScopeId, es decir, la dirección de red. El comando anterior se utiliza para recuperar este valor.

Remove-DhcpServerv4Scope -ScopeId 192.168.145.0 -Force

Si el ámbito forma parte de una asociación de conmutación entre dos servidores DHCP, hay pasos adicionales que debe realizar antes de eliminar el ámbito.

 Enumerar las asociaciones de conmutación:

Get-DhcpServerv4Failover

Este comando proporciona dos datos necesarios para el resto del proceso: el nombre de la relación y el identificador del ámbito.

images/Cap4_Pag71.PNG

 Localice el nombre de la relación y el ScopeId, a continuación, elimine la asociación de conmutación en el ámbito que se va a eliminar.

Remove-DhcpServerv4FailoverScope -Name "s-dhcp-1.eni.local-s- ...

Migración de un servidor DHCP

Con el paso de los años, el hardware y el sistema operativo de su servidor envejecen. Hasta que el sistema operativo de su servidor llega al final de su vida útil y deja de recibir soporte de Microsoft. Se trata de una situación delicada, porque deja de recibir actualizaciones correctivas y parches de seguridad.

Se trata de una situación habitual y se da en todo tipo de servidores: controladores de dominio de Active Directory, servidores de archivos, servidores de aplicaciones y servidores DHCP.

La solución es migrar a una nueva máquina que ejecute una versión más reciente del sistema operativo, o realizar una actualización in situ de Windows Server.

En algunos casos, hay que migrar el servicio para responder a una necesidad de mejor reparto de funciones entre los distintos servidores. También es una oportunidad para empezar de nuevo sobre una base sólida.

Para migrar el servicio DHCP del servidor A al servidor B, existen varios escenarios posibles:

  • Reproduzca manualmente la configuración en el servidor B y, cuando esté lista, detenga el servicio DHCP en el servidor A.

  • Exporte la configuración del servidor A y vuelva a importarla en el servidor B.

Este segundo método ahorra tiempo y facilita el trabajo, especialmente cuando la configuración DHCP contiene un gran número de ámbitos, opciones y reservas.

Antes de iniciar la migración, se debe instalar el rol de servidor DHCP en el servidor de destino del servicio DHCP....

El servicio DHCP y la seguridad de la red

1. Características del servicio DHCP de Windows Server

a. Filtros de direcciones MAC

La consola DHCP que utilizamos anteriormente contiene una sección llamada Filtros.

Esta función del servidor DHCP se puede utilizar para definir una lista blanca de direcciones MAC autorizadas por este servidor DHCP o una lista negra de direcciones MAC prohibidas.

Se divide en dos partes:

  • Autorización: la lista de direcciones MAC que se deben autorizar;

  • Exclusión: la lista de direcciones MAC que se deben excluir.

images/Cap4_Pag90.PNG

Por defecto, esta característica está desactivada en un ámbito DHCP. En consecuencia, todas las máquinas pueden solicitar este servidor DHCP porque no hay filtros.

Antes de activar el filtrado de autorizaciones, es necesario elaborar una lista de direcciones MAC a autorizar, las de las máquinas y equipos que solicitarán esta ampliación al servidor DHCP.

Si activa esta función antes de crear la lista, ninguna máquina se podrá beneficiar de la configuración de la red.

Si algunos de tus usuarios han desarrollado el molesto hábito de conectar sus dispositivos personales a la red de la empresa, puede añadirlos a la lista negra (mediante direcciones MAC) para evitar que obtengan una configuración de red.

Añadir una dirección MAC a la lista

Para añadir direcciones MAC a una lista, puede utilizar la interfaz gráfica, pero esto lleva mucho tiempo y es repetitivo.

 Para añadir una nueva dirección MAC, haga clic con el botón derecho del ratón en la lista, por ejemplo, Autorización y seleccione Nuevo filtro. El formulario se debe rellenar con la dirección MAC de la máquina y, si es necesario, una descripción.

images/Cap4_Pag91.PNG

 Cuando la lista esté lista, vuelva a hacer clic con el botón derecho del ratón en Autorización para hacer clic en Activar.

Añadir direcciones MAC con PowerShell

También puede utilizar un comando PowerShell para ahorrar tiempo. Sin embargo, esta lista será difícil de mantener si hay movimientos frecuentes en su red.

A continuación, se muestra un ejemplo de adición de dos direcciones MAC a la lista de autorizaciones representada por el valor Allow:

Add-DhcpServerv4Filter -List Allow -MacAddress  
"F0-DE-F1-AA-AA-01", "F0-DE-F1-BB-BB-02"...